La liste actuelle des vulnérabilités prioritaires évoluera en fonction de la compréhension de la CISA de l'activité de l'adversaire, a indiqué l'agence.
LPCC émis mercredi, une nouvelle directive oblige les agences civiles fédérales à remédier à au moins 306 vulnérabilités couramment exploitées lors des attaques. Les responsables de la CISA ont souligné que le catalogue était axé sur les vulnérabilités qui, selon eux, « causaient des dommages maintenant », mais serait également utilisé comme une liste courante de vulnérabilités prioritaires en fonction de leur compréhension évolutive de l'activité de l'adversaire.
Chacune des vulnérabilités est associée à une date d’échéance différente, certaines devant être atténuées d’ici le 17 novembre et d’autres fixées au 3 mai 2022.
Directive opérationnelle contraignante (DBO) 22-01 -- intitulé "Réduire le risque important de vulnérabilités exploitées connues" -- s'applique à tous les logiciels et matériels trouvés sur les systèmes d'information fédéraux, selon le communiqué. Cela inclut les vulnérabilités affectant à la fois les actifs accessibles sur Internet et non Internet, ainsi que ceux gérés dans les locaux d'une agence ou hébergés par des tiers pour le compte d'une agence.
Ils ont exhorté les entreprises privées et les gouvernements étatiques, locaux, tribaux et territoriaux à corrigez les vulnérabilités de la liste et inscrivez-vous pour recevoir des notifications lorsque de nouvelles vulnérabilités sont détectées. ajoutée.
Jen Easterly, directrice du CISA dit que même si la directive ne s'applique qu'aux agences civiles fédérales, toutes les organisations devraient « donner la priorité à l'atténuation vulnérabilités répertoriées dans notre catalogue public, qui sont activement utilisées pour exploiter les vulnérabilités publiques et privées. organisations."
"Chaque jour, nos adversaires utilisent des vulnérabilités connues pour cibler les agences fédérales. En tant que responsable opérationnel de la cybersécurité fédérale, nous utilisons notre pouvoir directif pour piloter les efforts de cybersécurité. vers l'atténuation des vulnérabilités spécifiques que nous savons être activement utilisées par des cyberacteurs malveillants, " Easterly dit.
"La directive énonce des exigences claires pour que les agences civiles fédérales prennent des mesures immédiates pour améliorer leurs pratiques de gestion des vulnérabilités et réduire considérablement leur exposition aux cyberattaques attaques. Bien que cette directive s'applique aux agences civiles fédérales, nous savons que des organisations à travers le pays, y compris des entités d'infrastructures critiques, sont ciblées en utilisant ces mêmes vulnérabilités.
CISA a noté que le déluge de vulnérabilités disponibles découvertes au cours de la seule année 2020 dépassait les 18 000, ce qui rendait presque impossible pour les organisations de suivre le rythme. Le problème est exacerbé par le fait que la plupart des organisations disposent de petites équipes informatiques mal équipées pour gérer les attaques perpétrées par des cybercriminels chevronnés ou par des États-nations.
La liste présente les vulnérabilités de dizaines de plus grandes entreprises technologiques, allant d'IBM, Oracle et Cisco à Apple, Microsoft, Adobe et Google.
représentant Jim Langevin, coprésident du House Cybersecurity Caucus, dit la directive « contribuerait grandement à renforcer la sécurité des réseaux et à améliorer notre cyber-hygiène fédérale ».
Il a noté que le président Biden Décret exécutif sur la cybersécurité "comprend des éléments importants sur Zero Trust, et le BOD de CISA est conforme à cette philosophie consistant à ne pas se limiter à la défense du périmètre."
Ray Kelly, ingénieur principal en sécurité chez NTT Application Security, a déclaré que le catalogue était idéal car il pourrait être transformé en une liste exploitable de tâches pouvant être suivies et vérifiées par différents départements.
"En regardant le catalogue de vulnérabilités fourni, il apparaît comme un bon mélange de vulnérabilités critiques couvrant les logiciels, les micrologiciels et les appareils mobiles", a déclaré Kelly. « Cependant, même s'il existe une bonne couverture des vulnérabilités à fort impact traitées, il est important de noter que cela ne signifie pas que les évaluations continues et l'analyse des vulnérabilités doivent être arrêtées. Les acteurs malveillants chercheront toujours à profiter de la prochaine faille de sécurité dans toute organisation. »
Alors que les experts ont salué les efforts déployés derrière la directive, certains ont déclaré qu'il y avait des raisons complexes pour lesquelles certaines choses ne sont pas toujours corrigées.
Chris Grove, stratège en chef de la sécurité chez Nozomi Networks, travaille dans le domaine des infrastructures critiques et a déclaré que même si la directive a montré une "approche progressive pour sécuriser les agences fédérales dans les prochains mois", elle n'a pas pu être appliquée aux infrastructures critiques systèmes.
« Il existe souvent des raisons légitimes pour lesquelles des éléments ne sont pas corrigés dans de nombreux environnements d'infrastructures critiques. Plus particulièrement, de nombreux fournisseurs d'équipements ICS clés en main intègrent des technologies dans leurs produits, ce qui, s'ils sont obligés de mettre en œuvre un correctif, pourrait endommager l'équipement », a déclaré Grove.
"Dans certains de ces cas, une mise à jour ou un correctif peut annuler la garantie et violer les termes et conditions du fabricant. De plus, certaines mises à jour nécessitent des fenêtres de maintenance et des pannes planifiées. De nombreuses entités ICS ne planifient des temps d'arrêt que tous les 3 à 4 ans. Il leur est impossible de suivre le rythme des correctifs."
Mike Hamilton, RSSI de Critical Insight, a déclaré à ZDNet que ce qui lui a le plus marqué étaient les vulnérabilités qui ne semblaient pas être d'une grande gravité.
La directive indique clairement que les vulnérabilités classées moyennes et faibles peuvent être « enchaînées » et que les problèmes de faible gravité ne peuvent être ignorés, a expliqué Hamilton.
"En donnant l'exemple aux agences fédérales et en rendant le catalogue largement disponible, il devrait y avoir un effet d'entraînement dans le secteur privé - à la fois avec en recevant le message selon lequel les vulnérabilités de faible gravité doivent être gérées et en fournissant une liste explicite de celles connues pour être utiles dans le chaînage d'exploits," dit Hamilton.
"Une prochaine étape logique pourrait être une analyse active des systèmes vulnérables dans le secteur privé - en commençant par les fournisseurs d'infrastructures critiques - et la fourniture de notifications pour les expositions vulnérables."
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite